Vídeo: Феникс - Ильичёвец, 8:3, 26 ноября 2020 г., Чемпионат Украины по футзалу (обзор) (De novembre 2024)
Els atacants van infectar i van agafar el control de més de 25.000 servidors Unix per crear una plataforma massiva de distribució de correu brossa i programari maliciós, va dir ESET. Els administradors de Linux i Unix han de comprovar immediatament si els seus servidors es troben entre les víctimes.
La colla que hi ha darrere de la campanya d’atac utilitza els servidors infectats per robar les credencials, distribuir correu brossa i programari maliciós i redirigir els usuaris a llocs maliciosos. Els servidors infectats envien cada dia 35 milions de missatges de correu brossa i redirigeixen mig milió de visitants web a llocs maliciosos diàriament, va dir Pierre-Marc Bureau, gestor de programes d’intel·ligència de seguretat d’ESET. Els investigadors creuen que la campanya, batejada com a Operació Windigo, ha segrestat més de 25.000 servidors en els últims dos anys i mig. Actualment, el grup té 10.000 servidors sota el seu control, va dir Bureau.
ESET va publicar un document tècnic amb més detalls sobre la campanya i va incloure una senzilla ordre ssh que els administradors poden utilitzar per esbrinar si els seus servidors han estat segrestats. Si això és així, els administradors haurien de tornar a instal·lar el sistema operatiu al servidor infectat i canviar totes les credencials que s’hagin utilitzat per iniciar la sessió a la màquina. Atès que Windigo va recollir les credencials, els administradors haurien d’assumir totes les contrasenyes i les claus privades d’OpenSSH que s’utilitzin en aquesta màquina i que s’haurien de canviar, ha advertit ESET. Les recomanacions s'apliquen tant als administradors d'Unix com a Linux.
Esborrar la màquina i tornar a instal·lar el sistema operatiu des de zero pot semblar una mica extrem, però tenint en compte que els atacants havien robat les credencials d’administrador, havien instal·lat a l’aire lliure i havien obtingut accés remot als servidors, ja que sembla que sigui necessari l’opció nuclear.
Elements d’atac
Windigo es basa en un còctel de programari maliciós sofisticat per segrestar i infectar els servidors, incloent Linux / Ebury, un porta d’entrada OpenSSH i un servidor de credencials, a més de cinc altres programes maliciosos. Durant un únic cap de setmana, els investigadors d’ESET van observar més d’1, 1 milions d’adreces IP diferents que passaven per la infraestructura de Windigo abans de ser dirigides a llocs maliciosos.
Els llocs web compromesos per Windigo, al seu torn, van infectar als usuaris de Windows amb un kit d’explotació que feia clic sobre fraus de clics i programari maliciós que enviava correu brossa, van mostrar s discutibles per als llocs de cites als usuaris de Mac i van dirigir els usuaris d’iPhone a llocs porno en línia. Bureau ha conegut organitzacions conegudes com cPanel i kernel.org, tot i que han netejat els seus sistemes, va dir Bureau.
Segons va dir, els sistemes operatius afectats pel component de correu brossa inclouen Linux, FreeBSD, OpenBSD, OS X i fins i tot Windows.
Servidors Rogue
Tenint en compte que tres de cinc llocs web del món funcionen amb servidors Linux, Windigo té moltes potencials víctimes per jugar-hi. ESET ha indicat que la part de darrera porta per tal de comprometre els servidors s'instal·lava manualment i explota controls de configuració i seguretat pobres, no vulnerabilitats del programari en el sistema operatiu.
"Aquest nombre és important si considereu que cadascun d'aquests sistemes té accés a l'amplada de banda important, l'emmagatzematge, la potència informàtica i la memòria", va dir Bureau.
Un grapat de servidors infectats amb programari maliciós poden causar molt més mal que una gran botnet d’ordinadors habituals. Els servidors generalment tenen un millor poder de maquinari i processament, i tenen connexions de xarxa més ràpides que els ordinadors d’usuari final. Recordem que l'any passat, la potent denegació dels atacs de serveis contra diversos llocs web bancaris es va originar en servidors web infectats en centres de dades. Si l’equip que hi ha darrere de Windigo canvia les tàctiques d’utilitzar només la infraestructura per difondre el correu brossa i el programari maliciós a alguna cosa encara més desagradable, el dany resultant podria ser important.